Aigis算法一览

aoi_chan

1188人浏览 · 2025-09-01 13:47:27

aoi_chan · 2025-09-01 13:47:27 发布

Aigis

Aigis-Enc

acronyms

Small Integer Solutions, SIS
Learning with Error, LWE
Asymmetric SIS, ASIS
Asymmetric LWE, ALWE
Chosen plaintext attack, CPA -> IND-CPA
Chosen ciphertext attack, CCA

totally

Aigis-Enc 方案是基于 A-MLWE 困难问题的后量子密钥封装算法，其核心构造为 IND-CPA 安全的公钥加密 PKE = (KeyGen, Enc, Dec).
在此框架基础上，通过 FO 转换可构建 IND-CCA 安全的密钥封装机制 KEM = (KeyGen, Encaps, Decaps).

与 KYBER 的区别：利用秘密向量和噪声向量依赖的 $α\alpha$ 对解密噪声项模的影响的不对称性，取较大的 $α2\alpha_2$ 的值来弥补由于减小 $α1\alpha_1$ 而带来的潜在安全损失。

算法描述（CPA安全的方案）

KeyGen

aigis-pke-keygen

均匀采样 n-bit $σ\sigma$ 、 $ρ\rho$ ；
由随机数种子生成（- XOF -> - Parse ->）NTT 域上的矩阵 A；
以 $σ\sigma$ 为参数通过 CBD 从 $B_{η1}$ 中采样私钥向量 $\in R_q^k$ ；
以 $σ\sigma$ 为参数通过 CBD 从 $B_{η2}$ 中采样噪声向量 $\in R_q^k$ ；
计算 $t = A s + e$ 后，与 $ρ\rho$ 拼接后 Encode，形成公钥。

Enc

aigis-pke-enc

输入 pk Decode 得到 $t$ ；
由 pk 得到 $ρ\rho$ ；
使用种子 $ρ\rho$ 生成（- XOF -> - Parse ->）NTT 域上的矩阵Ａ；
以随机数ｒ（输入）为参数通过 CBD 从 $B_{η1}$ 中生成错误向量 $\in R_q^k$ ；
以随机数ｒ为参数通过 CBD 从 $B_{η2}$ 中生成错误向量 $e1∈Rqke_1 \in R_q^k$ ；
以随机数ｒ为参数通过 CBD 从 $B_{η2}$ 中生成 $e2∈Rqe_2 \in R_q$ ；
$u = A^T r + e_1$ ；
$t^T r + e_2 + \lceil \frac{q}{2} \rfloor · \mu$ ；
最后将ｕ Encode 成 $c_1$ ，将ｖ Encode 成 $c_2$ ，拼接得输出密文 c.

Dec

aigis-pke-dec

$μ=v−sTu\mu = v - s^T u$

Aigis-sig

原基于 MLWE 问题的签名方案

aigis-sig-0

压缩带来的改变

aigis-sig-why-a

为何 A-

aigis-sig-why-a-e

算法描述

KeyGen、

aigis-sig-keygen

均匀采样 $ρ\rho$ 、K；
分别在 $Sη1lS_{\eta_1}^l$ 、 $Sη2kS_{\eta_2}^k$ 中采样 $s_1$ 、 $s_2$ ；
由随机数种子 $ρ\rho$ 生成（- $XOF_1$ -> - Parse ->）NTT 域上的矩阵 $A_{k*l}$ ；
计算 $t = A s + e$ ；
t - compress -> ( $t_1$ , $t_0$ )；
输出 pk = …；
输出 sk = …。